Sta facendo parlare di sé un nuovo spyware per Android, chiamato ClayRat, che viene distribuito tramite canali Telegram e siti contraffatti, mascherandosi da servizi popolari come TikTok, YouTube, WhatsApp o Google Foto.
Sebbene stia prendendo di mira principalmente gli utenti russi, si tratta di uno spyware molto pericoloso perché è in grado di diffondersi a un ritmo sostenuto e, una volta entrato in azione, è in grado di avere il controllo sugli SMS (incluso l’invio), sui registri delle chiamate, sulle notifiche, sulle informazioni del dispositivo, sulla fotocamera; può persino reffettuare chiamate dal dispositivo della vittima. Andiamo a scoprire tutti i dettagli.
Come viene distribuito ClayRat
Come anticipato in apertura, ClayRat viene distribuito tramite canali Telegram e siti contraffatti, studiati ad hoc per ingannare gli utenti meno attenti con pagine Web che richiamano quelle di servizi molto famosi e utilizzati.
Questi siti fungono da esca, reindirizzando i visitatori verso canali Telegram dove è possibile scaricare il pacchetto APK “dannoso” o è presente un link per scaricarlo. Per far sì che gli utenti siano ben disposti a installare il suo pacchetto APK, il malware è spesso accompagnato da istruzioni semplici ma dettagliate che spiegano come aggirare gli avvisi di sicurezza integrati in Android.
Per rendere ancor più appetibile la situazione, gli aggressori infarciscono i canali Telegram che spacciano il malware con finte recensioni positive, numeri di download gonfiati ad hoc e false “testimonianze” degli utenti. Con questo approccio, gli aggressori si assicurano una sorta di propagazione della minaccia in stile “affiliazione”, rendendo più difficile l’interruzione della campagna spyware.
Oltre ai siti esca, esistono anche dei siti (sempre farlocchi) che richiamano quelli di servizi noti per ospitare APK contraffatti che vengono spacciati come aggiornamenti legittimi o componenti aggiuntivi per l’app o il servizio di riferimento.
Anche in questo caso vengono fornite istruzioni dettagliate per effettuare il sideload dell’APK contraffatto e, ovviamente, la tattica principale adottata dai malintenzionati è quella di spiegare come far installare le applicazioni da fonti sconosciute.
Addirittura ci sono alcune varianti di ClayRat che sfruttano un livello di complessità ancora maggiore, con una prima app (tramite APK) che sfrutta semplicemente come hub per lo smistamento (automatico) delle minacce vere e proprie che sono crittografate e archiviate nelle risorse dell’app. In questo caso, è stata trovata persino un’app che emula un aggiornamento disponibile attraverso il Google Play Store.
L’ultimo aspetto da considerare in ottica diffusione dello spyware è la sua capacità di “auto-alimentare” la diffusione: quando entra in azione, esso è in grado di comporre e inviare automaticamente SMS a tutti i contatti presenti nella rubrica; i destinatari saranno più propensi ad aprire un link se ricevuto da un proprio contatto. Ogni dispositivo infetto, quindi, diventa a sua volta un nuovo nodo della distribuzione; lo spyware può così diffondersi in maniera esponenziale.
Le potenzialità di questo Spyware
Finora abbiamo visto come viene diffuso ClayRat ma adesso è il momento di capire cosa fa lo spyware quando entra in azione. Come avrete capito dal paragrafo precedente, una delle tattiche più efficaci dello spyware è l’appropriazione del ruolo predefinito di gestore degli SMS di Android.
Quando un’app viene investita di tale ruolo, uno dei più “sensibili” tra quelli disponibili su Android, ottiene l’accesso totale al contenuto degli SMS e alle funzioni di messaggistica. Di conseguenza, finendo in mano a uno spyware, gli consente di leggere, archiviare e inviare/inoltrare messaggi di testo su larga scala.
Con un unico passaggio, quindi, ClayRat è in grado di leggere tutti i messaggi in arrivo (e memorizzati) sul dispositivo, di inviare nuovi messaggi di testo, di intercettare eventuali comunicazioni prima che possano raggiungere altre app, e addirittura di accedere ai vari database SMS e modificarli.
In aggiunta, una volta ricevute le autorizzazioni del caso, lo spyware scatta delle foto all’utente ignaro (sfruttando la fotocamera frontale) e le carica sul proprio server di comando e controllo (da cui viene il nome dello spyware, come potrete notare nella precedente immagine). Ecco tutte i comandi che può inviare il server:
- get_apps_list — invia l’elenco delle app installate al server
- get_calls — invia i registri delle chiamate
- get_camera — scatta una foto con la fotocamera frontale e inviala al server
- get_sms_list — esfiltra i messaggi SMS
- messsms — invia SMS di massa a tutti i contatti
- send_sms / make_call — invia SMS o effettua chiamate dal dispositivo
- notifications/ get_push_notifications — cattura notifiche e dati push
- get_device_info — raccoglie informazioni sul dispositivo
- get_proxy_data — recupera un URL WebSocket proxy, aggiunge l’ID del dispositivo e inizializza un oggetto di connessione (converte HTTP/HTTPS in WebSocket e pianifica le attività)
- retransmishion — reinvia un SMS a un numero ricevuto dal server
Zimperium, la realtà statunitense che opera nella sicurezza mobile che sta monitorando ClayRat, fa parte dell’App Defense Alliance e ha già condiviso gli IoC completi con Google; in questo modo, Play Protect è in grado di bloccare le varianti nuove (e future) dello spyware.
Vedi Post Originale: https://www.tuttoandroid.net/news/2025/10/10/clayrat-spyware-android-app-finta-phishing-diffusione-capacita-1121582/
0 Comments